L’autenticazione a più fattori (MFA) si trova a rischio sotto un’intensa pressione da parte dei criminali informatici, secondo l’ultimo report del primo trimestre del 2024 di Cisco Talos Incident Response (Talos IR), la principale organizzazione privata di intelligence dedicata alla cybersecurity a livello mondiale.
Il report indica che quasi la metà di tutti gli incidenti di sicurezza ha coinvolto l’MFA, con il 25% di questi causati dall’accettazione di notifiche push MFA fraudolente da parte degli utenti e il 21% dovuti a una scorretta implementazione della tecnologia. Nonostante i recenti miglioramenti nell’adozione dell’autenticazione a più fattori nelle aziende, i criminali informatici continuano a mirare agli account protetti da MFA per compromettere i sistemi informativi aziendali.
Gli attacchi MFA
La tipologia più comune di attacchi riscontrata da Cisco Talos è l’invio massiccio di notifiche push MFA non autorizzate da parte degli utenti. Questa situazione si verifica quando l’aggressore tenta di autenticarsi ripetutamente a un account utente con credenziali valide al fine di sommergere le vittime di notifiche push MFA fino a quando, per esasperazione, la vittima accetta, permettendo l’accesso. Cisco Duo, la divisione di Cisco specializzata in MFA e accesso sicuro, ha documentato circa 15.000 di questi attacchi tra giugno 2023 e maggio 2024, notando che tali attacchi sono più frequenti all’inizio della giornata lavorativa, quando gli utenti tentano di accedere ai sistemi aziendali.
Ecco i principali metodi, oltre alle notifiche push, utilizzati per eludere le difese MFA:
- Token di autenticazione rubati. I criminali utilizzano i token di sessione rubati ottenendo così un’identità legittima che gli permette di accedere ai sistemi aziendali.
- Ingegneria sociale del reparto IT. In genere, un aggressore si spaccia per qualcuno che la vittima conosce e cerca di trasmettere un senso di urgenza e importanza alle sue comunicazioni per incoraggiarlo a cliccare sul suo messaggio. Una volta ottenute le credenziali, il criminale le utilizza per entrare nei sistemi informativi e per aggiungere nuovi dispositivi abilitati all’autenticazione a più fattori.
- Compromissione di un fornitore dell’azienda presa di mira. Gli aggressori prendono di mira un fornitore per accedere all’MFA utilizzando il dispositivo compromesso.
- Compromissione di un singolo endpoint. Il fine è quello di aumentare i privilegi a livello di amministratore e quindi disattivare la protezione MFA.
- Attacchi As a Service. I criminali utilizzano applicazioni software erogate attraverso il dark web e, una volta ottenuto l’accesso ai sistemi informatici, utilizzano script per disabilitare gli strumenti di sicurezza.
Ecco alcune raccomandazioni di Cisco Talos per implementare correttamente l’MFA:
- Abilitare il number matching nelle applicazioni MFA per fornire un ulteriore livello di sicurezza e impedire agli utenti di accettare notifiche push MFA dannose.
- Implementare l’autenticazione a più fattori su tutti i servizi critici, inclusi tutti i servizi di accesso remoto e di gestione dell’accesso all’identità (IAM).
- Configurare un alert per l’autenticazione al fine di identificare rapidamente anomalie e modifiche nei criteri di autenticazione a più fattori.
- Investire nella formazione degli utenti per aggiornarli sul panorama delle minacce informatiche e aiutarli a essere vigili, segnalando tempestivamente situazioni sospette.
Il report di Cisco Talos evidenzia una preoccupante vulnerabilità nell’autenticazione a più fattori, sottolineando la necessità di rafforzare le pratiche di sicurezza e sensibilizzare gli utenti per contrastare efficacemente le crescenti minacce informatiche.
https://www.cisco.com/c/it_it/about/news/2024-archive/20240910.html